본문 바로가기

벌새::Analysis

검색 도우미 : IESupporter

728x90
반응형

Internet Explorer 웹 브라우저에 다양한 인터넷 쇼핑몰 바로가기가 등록된 iesupporter 툴바(Toolbar)를 생성하는 검색 도우미 IESupporter 프로그램<SHA-1 : edc614041bf6c61b634176ecbb11e6083cd2e514 - BitDefender : Gen:Variant.Graftor.9254 (VT : 19/50)>에 대해 살펴보도록 하겠습니다.

 

  [삭제] 스마트모드(SmartMode) (2013.3.26)

 

해당 프로그램은 기존의 스마트모드(SmartMode) 툴바 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\iesupporter
C:\Program Files\iesupporter\iesupporter.dll :: BHO 등록 파일
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\0.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\1.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\2.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\3.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\4.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\5.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\6.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\7.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\8.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\9.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\a.ico
C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter\WebInfo.txt
C:\Windows\System32\iesupporter_se.exe :: 서비스(iesupporter Update Service) 등록 파일
C:\Windows\System32\iesupporteru.exe
C:\Windows\System32\uninst_iesupporter.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\iesupporter\iesupporter.dll
 - SHA-1 : e6e6992dad81c3e86629b733eb6b95449e9006c8
 - BitDefender : Gen:Variant.Graftor.115996 (VT : 17/50)

 

C:\Windows\System32\iesupporter_se.exe
 - SHA-1 : 69fa5c13c6b2cce9fb294b38f4ab5889be4ac625
 - avast! : Win32:Adware-AZI [Adw] (VT : 12/50)

 

C:\Windows\System32\iesupporteru.exe
 - SHA-1 : 4a87967b955a7e57488f0c068ee5aa4ea4296693
 - Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 19/50)

해당 프로그램은 "C:\Program Files\iesupporter" 폴더와 Windows 시스템 폴더 내에 파일을 생성하며, "iesupporter Update Service (표시 이름 : iesupporter Support Service)" 서비스 항목을 등록하여 시스템 시작시 ["C:\Windows\system32\iesupporter_se.exe" /service] 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(iesupporter_se.exe)은 "C:\Windows\System32\iesupporteru.exe" 파일을 로딩하여 프로그램 버전 업데이트를 체크하며, 이 과정에서 제휴 프로그램 정보이 등록되어 있을 경우 그림과 같은 업데이트 창을 통해 설치를 유도할 수 있는 기능이 포함되어 있습니다.(※ 하지만 실제로는 제휴 프로그램 추가 기능은 의도하지 않게 코드가 포함되어 있는 것으로 추정됩니다.)

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행시 다양한 인터넷 쇼핑몰 바로가기가 등록된 iesupporter 툴바(Toolbar)가 추가되며, 이를 통해 접속시 "click.interich.com" 제휴 코드가 추가되어 연결되고 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : iesupporter

유형 : 도구 모음

CLSID : {EB291D96-1D76-450D-90E4-BE798BA796E8}

파일 : C:\Program Files\iesupporter\iesupporter.dll

 

이름 : iesupporter

유형 : 브라우저 도우미 개체

CLSID : {EB291D96-1D76-450D-90E4-BE798BA796E8}

파일 : C:\Program Files\iesupporter\iesupporter.dll

 

해당 iesupporter 툴바(Toolbar)는 "C:\Program Files\iesupporter\iesupporter.dll" 파일을 도구 모음 및 브라우저 도우미 개체(BHO)로 등록하여 생성 및 동작하므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "iesupporter" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "iesupporter" 삭제 항목을 이용하여 삭제할 수 있도록 제공하고 있으며, 프로그램 삭제시에는 다음의 파일만 삭제를 진행합니다.

  • C:\Program Files\iesupporter
  • C:\Program Files\iesupporter\iesupporter.dll
  • C:\Windows\System32\uninst_iesupporter.exe

이로 인하여 프로그램 삭제 이후에도 서비스에 등록된 "iesupporter Update Service (표시 이름 : iesupporter Support Service)" 서비스 등록 파일이 Windows 시작시마다 업데이트 기능을 지속적으로 수행하는 문제가 발생하고 있으므로, 제어판을 통한 프로그램 삭제 이후 다음과 같은 추가적인 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "iesupporter Update Service"] 명령어를 입력 및 실행하여 등록된 서비스값을 자동 삭제하시기 바랍니다.

(b) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\iesupporter.bat
  • C:\Windows\System32\config\systemprofile\AppData\LocalLow\iesupporter
  • C:\Windows\System32\iesupporter_se.exe
  • C:\Windows\System32\iesupporteru.exe

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 키값이 존재할 경우 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\AppDataLow\Software\iesupporter
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
 - iesupporter_pop = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\iesupporter.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB291D96-1D76-450D-90E4-BE798BA796E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6FDEE381-5B2E-42A5-AD40-4EC3672E9AD7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartModeToolbar.IEController
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartModeToolbar.IEController.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{01EA19CD-529D-4D04-8C74-97990C327FB0}
HKEY_LOCAL_MACHINE\SOFTWARE\iesupporter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - easycome = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EB291D96-1D76-450D-90E4-BE798BA796E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {EB291D96-1D76-450D-90E4-BE798BA796E8} = iesupporter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{EB291D96-1D76-450D-90E4-BE798BA796E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
iesupporter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iesupporter Update Service

 

IESupporter 툴바(Toolbar) 프로그램은 삭제 이후에도 시스템 폴더 내부에 생성된 업데이트 기능을 가진 파일을 깨끗하게 삭제하지 않는 문제로 부팅시마다 불필요한 외부 통신이 이루어질 수 있으므로 주의하시기 바랍니다.

728x90
반응형